LibSSH 身份驗證繞過

隨著libssh( CVE-2018-10933 ) 最近的安全公告，我想知道如何確定我正在執行的任何服務是否使用了易受攻擊的庫？我最終會yum upgrade系統，但現在很高興知道我是否處於危險之中。我在 EC2 上使用*Amazon Linux 2 AMI。*謝謝！

您可以libssh2使用rpm -q --whatrequires.

在我的 Amazon Linux 2 實例上似乎不需要它：

[root@ip-xx-xx-xx-xx ~]# rpm -q --whatrequires libssh2
no package requires libssh2

為了更加確定，您可以嘗試列出所有打開共享庫的程序：

[root@ip-xx-xx-xx-xx ~]# rpm -ql libssh2
/usr/lib64/libssh2.so.1
/usr/lib64/libssh2.so.1.0.1     <== this is the one
...
[root@ip-xx-xx-xx-xx ~]# fuser /usr/lib64/libssh2.so.1.0.1
(... empty output ...)
[root@ip-xx-xx-xx-xx ~]#

看起來在我的 Amazon Linux 2 EC2 上沒有任何用途libssh2。請注意，fuser必須以root或 with執行sudo，否則您將看不到任何系統程序。

希望有幫助:)

引用自：https://serverfault.com/questions/935854